《印尼狮航波音737MAX客机坠机事故原因的专利分析》

hong 发表于 2019/03/13 21:43 一品 人文历史 (www.ywpw.com)

加跟贴 发新贴

航空工业发展研究中心 陆峰

2018-11-27

  一、空难概况

  当地时间2018年10月29日6时20分,印尼狮航JT610航班执飞客机从印尼的雅加达起飞,前往邦加勿里洞省首府槟港,客机起飞后大约13分钟与地面失去联系,坠入距雅加达东北海岸大约15公里的海域,机上189名乘客和机组人员全部罹难。

  失事飞机注册号PK-LQP,型号为波音737MAX 8,系2018年7月30日首飞、8月13日交付的新飞机,机龄仅为0.2年。此次坠毁也是737MAX第一次发生重大事故。波音737是自上世纪60年代以来投入使用的机型。而737 Max是其最新型号,包括波音737MAX 7、波音737MAX 8、737MAX 9、737 MAX 10和波音737MAX200等细分机型,自从2017年投入使用以来,737MAX迅速成为最受欢迎的机型,也是波音卖得最好的飞机。目前,已经有200多架737 Max投入使用,还有超过4700架订单在处理中。亚洲、欧洲、南美、非洲几十家航空公司都有737 MAX系列。

  据《华盛顿邮报》消息,参与此次调查的安全专家、美国联邦航空管理局(FAA)及航空公司飞行员称,波音公司隐瞒了其737 MAX系列机型的一个新的自动控制系统,而该系统存在潜在俯冲撞地风险。飞行员、航空公司和管理机构此前均不知情,导致绝大多数人没有应对的准备。而这,也许就是JT610航班坠毁的原因。

  狮航运营总监茨温利·西拉拉希11月14日表示,波音公司的操作手册中没有告诉飞行员,某些特定情况下,防失速系统将自动使飞机低头。西拉拉希告诉媒体记者:“我们在波音737MAX8型客机手册中没见过这方面内容,因而没有就这一特殊情形(对飞行员)作特殊培训。”这一说法呼应了美国航空公司的质疑。这家美国航空运营商的发言人14日告诉媒体记者:“我们重视与波音的关系,但不清楚MAX 8型客机机动特性增强系统的某些功能。”

  美国联邦航空局11月7日发布“紧急适航指示”,说波音737 MAX系列可能出现“攻角数据输入潜在错误”。前一天,波音向MAX 8型和MAX 9型飞机运营商发布安全提示,要求机组人员依操作手册应对“攻角数据错误”。

  美国联合飞行员协会发言人丹尼斯·塔耶尔12日说,波音公司发布的安全提示内容“在培训中没有见过”。另外,美国联邦航空局网站列出的737 MAX系列飞行员培训要求中,同样没有注明应针对新型防失速系统作培训。美国联合飞行员协会(APA)也于13日声称,他们对波音737MAX新装的自动防失速系统并不知情。

  二、相关领域波音专利情况

  据悉,波音737MAX 8配备了自动防失速系统,即“机动特性增强系统”。飞机飞行时机头越高,攻角(气流与机翼弦线之间夹角)越大,当攻角超出一定范围时,飞机面临失速风险。MAX 8配备的自动防失速系统一旦判断飞机失速,可以无需飞行员介入即接管飞机控制,并使飞机低头飞行,以改出失速。

  为了深入研究波音公司在波音737MAX上的自动防失速系统情况,本文尝试从专利维度切入分析。经国内、外专利检索发现,波音在防失速技术领域大约申请了110件/61个专利族的相关专利。根据专利申请时间、首架波音737MAX 8型飞机交付用户的时间(2017年5月16日)和自动防失速系统技术内容相关度等情况判断,上述波音专利中,与波音737MAX8飞机上的防失速系统技术功能最接近的专利为CN106477055A号专利。

  该专利申请涉及飞行器失速保护系统,是波音公司于2016年8月10日申请的中国发明专利,目前处于审中状态,其还有美国、加拿大、日本、欧盟、澳大利亚等国家或地区的同族专利。

  该专利申请公开了一种飞行器失速保护系统和方法,其包括基于飞行器配置和环境状况计算第一攻角和第二攻角,第一攻角大于第二攻角。所述系统和方法针对预定时间段将实际飞行器攻角限制成第一攻角,并且其后,所述系统和方法将实际飞行器攻角限制成第二攻角。所述系统和方法允许飞行器操作者或飞行员对于任何给定的一组飞行状况均从飞行器获取最大性能,而不存在使飞行器失速或者在高阻力状态下操作较长时间段的风险。该系统和方法适于与失速警告系统结合使用。

  该专利技术概况如图1所示。

  从图1和专利说明书可知,当飞机上安装该专利涉及飞行器失速保护系统时,该飞行器失速保护系统可以实时接收飞机攻角、襟翼位置、空速/马赫数、积冰状态、推力、负荷系数等飞机状态参数,根据这些状态参数自动(或根据飞行员手动输入)触发,并进行保护逻辑处理、攻角控制法则计算等操作,向飞机发出纵向命令,纵向命令处理和控制的对象包括飞机的升降舵、稳定翼(即水平安定面)、推力、扰流板等部件或系统。

  从专利技术的形式上看,波音公司对飞机失速保护的设想还是比较周全的,一方面可以通过飞行器失速保护系统中的处理器联接到飞机飞行控制计算机,可以对失速时的飞机进行自动控制保护;另一方面也允许飞行员进行人工干预和手动驾驶,但是实际上这两个环节可能都出现了漏洞。

  三、空难原因推测

  由于空客A320neo等竞争机型的存在,为了保护在失速自动保护系统方面的创新成果,波音公司应该会在向中国用户交付首架MAX 8飞机之前,申请相关领域的中国专利(波音向中国国际航空公司交付其首架737MAX8单通道飞机的时间为2017年11月3日),同时,波音737 MAX 8机型新装的防失速系统具有的自动触发、自动控制飞机低头等功能或特点,与CN106477055A号专利涉及飞行器失速保护系统的技术方案基本相符,因此本文假定CN106477055A号专利所述的飞行器失速保护系统被安装到了狮航失事飞机上,并以此为基础结合目前公开的情况,对失事航班的空难原因进行如下重组、推理和分析:

  1、失事飞机事故前出现的故障分析

  据美国有线电视新闻网(CNN)11月14日报道,狮航方面表示,波音737 MAX 8机型新装的防失速系统在特定情况下会自动触发响应,让飞机低头俯冲下降等,这可能是导致飞机坠海的原因之一。并且失事飞机在事故前一天更换了一支用于测量攻角信息的传感器;客机失事那次飞行以及先前三次飞行出现“空速表指示读数不可靠”现象。据事故调查信息显示,狮航JT610航班上的电脑系统是根据一个攻角传感器的错误数据在运行,但到底是攻角传感器的问题,还是处理数据的电脑系统出问题,或者系统的其他问题,目前还不能过早下结论。

  本文认为失事飞机原因与安装的飞行器失速保护系统(CN106477055A号专利可能与其相关)以及波音公司有关,理由如下:

  首先,虽然狮航属于廉价航空公司,并存在安全记录不佳等问题,但是飞机事故人命关天,每个航空公司都必须配备专业的飞机维修维护团队和维修设备,并严格遵照标准的维修流程,攻角传感器或空速表本身问题或是其他局部问题属于常规故障,有经验的专业维修维护人员应该可以及时发现和排除相关问题。

  其次,失事飞机的最后4个航班中,飞机空速仪表反复出现问题,维护工程师曾多次试图解决,技术人员最终在出事前一天更换了攻角传感器。起飞前,维护人员还解决了一个皮托管(用于测量飞机空速)的问题。但是更换攻角传感器后,问题不但没有解决,反而更加恶化。飞机的攻角传感器、空速指示仪表反复发生类似故障比较异常,并且相关仪表更换后,在短期内再次发生同样故障的概率更低,除了维护维修方面过失的原因,还存在的合理解释就是:接收/处理设备或失速保护系统等出现了系统性故障,而这类系统性故障比较隐蔽,可能需要较长时间的全面检查才能发现原因所在。

  再次,从专利维度上看,失事前更换的测量攻角的传感器、空速指示仪表(用于测量攻角、空速/马赫数),这些参数对于CN106477055A号专利所述飞行器失速保护系统的分析、判断和处理故障非常重要,其中飞行器实际攻角(α)的测量值是CN106477055A号专利涉及所有技术措施的前提和基础。这些重要参数、数据一旦出现错误时,737 MAX飞机应该采取冗余备份、错误检测、自动纠错、告警提示、中止和人工干预等措施,来防止和纠正飞机被认定为处于失控状态的错误,但正是由于这些安全保障设备没能发挥作用,才致使失事飞机电脑系统根据一个攻角传感器的错误数据在运行,并最终导致了悲剧的发生。

图1 CN106477055A号专利附图1

  最后,波音犯下了致命性的错误:没有公开737 MAX机型飞机新增了自动失速保护系统这一重要信息,据狮航运营总监茨温利•西拉拉希表示:失事飞机的操作手册中并未对可能导致飞机俯冲的关键功能进行警告。由于飞机自动失速保护系统对飞行安全非常重要,波音有义务向维护人员提供完整的故障检测方法、设备,并为飞行员、维修人员提供明确告警提示和维修操作指引。在事先不知情的情况下,缺少详细操作指引的维护人员很难检测出飞机故障的真正原因。

  如果事先知悉飞机自动失速保护系统会因单个攻角传感器的错误数据而自动触发,并致使飞机向下俯冲等严重后果,飞行员和管理机构肯定会高度重视事故前出现的四次故障,提出专门的安全警告或提高警告级别,维护人员也会对飞机进行深入、全面的检修,甚至会暂时停飞失事飞机,如果失事飞机采取了这些措施,就应该可以避免悲剧的发生。

  2、失事飞机事故发生情况分析

  狮航JT610航班飞机事故的发生过程可能如下:

  安装在失事飞机上的飞行器失速保护系统收到了错误的飞行状态参数信号(飞机攻角参数等)或者其自身潜在系统故障开始发作,致使该飞行器失速保护系统错误认为飞机处于失速状态,触发失速保护系统开始工作,接管飞机进行如下操作:使升降舵下偏,导致飞机尾部抬起和机头朝下,控制飞机以机头骤降的方式化解并不存在的“失速”。失事飞机下降过程中出现过一次拉升后又重复下降直至坠毁的现象,该现象表明飞行员可能在与飞行器失速保护系统争夺飞机控制权,但是飞行员没能获得成功,导致飞机在高速撞击海面时解体,酿成了机毁人亡的惨剧。

  3、失事飞机失速保护系统可能存在的设计缺陷分析

  该飞行器失速保护系统在控制飞机下降时,虽然飞行员可以通过手动控制输入指令来进行干预,但是由于事发过于突然,再加上缺乏事先专门培训和警告,搞不清楚状况的飞行员很难及时完成解除风险的正确操作,不知情的地面管理机构也无法提供正确的指引或处置建议。在上述人机进行的最后的生死斗争中,有几个问题至关重要:失速保护系统触发和控制飞机俯冲下降时,飞行员一直在进行人工干涉,此时失速保护系统会做出何种选择?是飞行员输入指令优先?还是失速保护系统的控制软件程序优先?或是两者并行?以及飞行员需要的输入指令是否简单、快捷等?

  从美国联邦航空局(FAA)事故后发出的紧急指令中可以找到上述问题的答案,11月13日,美国联邦航空局依据失事飞机数据记录仪上恢复的信息发出紧急指令,美国联邦航空局警告飞行员,即使处于手动飞行模式,波音737MAX上的防失速系统也可能导致飞机急剧下降时间长达10秒。飞行员在这段时间内难以控制飞机,就算飞行员手动拉起机头,5秒钟后机头又会自动重复下降过程。这就表明,在失事飞机俯冲下降时,即使是在飞行员手动飞行模式,飞机的防失速系统仍然处于激活状态,事故发生时,飞行员应该没有获得飞机的完全控制权。

  那么失速保护系统为何会坚持错误认为飞机处于“失速”状态?失速保护系统为什么会无视飞行员手动操作指令?

  也许从CN106477055A号专利文献可以找到问题的答案。[图2]

  根据CN106477055A号专利说明书第45段记载:“激活逻辑200可由失速保护计算机110执行。如果飞行器超过约定阈值,则失速保护计算机110执行激活逻辑200。在激活之后,在212处测量飞行器攻角。如果在214处飞行器攻角低于预定激活攻角,并且如果攻角变化速率较低,则激活逻辑200不再,进一步进行,且在216处终止……”上述记载表明,自动保护系统的激活逻辑200可由失速保护计算机110执行,激活之后,飞行器攻角测量值是执行程序重要的判断依据,但是该专利中未见对飞行器攻角测量值真实性进行检测和分析的技术措施。

  据悉,失事飞机上共设有3个攻角传感器,波音失速自动保护系统的控制程序设计很奇怪,其逻辑是只要主传感器认为飞机攻角过高(机头抬得过高),飞机有失速危险,自动保护系统的激活逻辑200就可以被激活。而根据Avherald网站分析,空客飞机在类似系统设计中规定:只要三个攻角传感器的读数不一样,不管主次,都选择不相信,直接报错给飞行员,从而避免主传感器出错,导致整个系统出错的风险。软件设计最忌讳对非正常模式或者故障模式考虑不周全、不到位,与空客相比,波音在失速保护系统的控制程序设计方面似乎存在bug。

  根据CN106477055A号专利说明书47段记载:“在222处发送命令之后,处理器154在224处检查定时器,并且处理器154在225处检查预定标准(诸如,空速和/或攻角和/或航线),以查看是否满足任意预定标准。如果在226处定时器小于预定最大时间,并且如果在225处未满足预定标准,则处理器154返回步骤212并且测量飞行器的攻角……然后,处理器154可在232处继续测量飞行器的攻角和飞行员驾驶柱输入,直到飞行器攻角小于激活攻角(α3),或者直到检测到驾驶员干预(其由命令攻角减小的驾驶柱输入指示),此时激活逻辑200终止。”

  图2和上文表明,失速保护系统激活后,遇到飞行员干预时,并不是无条件终止程序控制和交出飞机的控制权,只有当驾驶员干预是由命令攻角减小的驾驶盘输入指示时,失速保护系统的激活逻辑才会终止。

  事故发生时,失事飞机处于俯冲下降状态,飞行员做出的选择必然是拉升飞机和增大攻角,然而此类输入指令似乎无法终止飞机失速保护系统的激活逻辑,所以失事飞机会急剧下降10秒后,被飞行员手动拉起机头,但是5秒钟后机头又重复下降。

  据悉,尽管波音新旧737机型自动失速保护系统解决机头下推的方式本质上是一回事,但从CN106477055A号专利可知,MAX 8涉及的程序和事项更多,更费时间。当时解除险情的最佳处置方法可能是飞行员不但要手动拉起机头,而且还要立即关闭飞行器失速保护系统,紧急情况下,失事飞机的飞行员可能只有数秒时间去检测问题和采取行动。而这对于完全没有准备的飞行员来说,显然是个大问题。

  4、波音如此设计的原因

  根据CN106477055A号专利说明书8段记载:“尽管现有的失速保护系统防止飞行器偏移到不受控飞行区域中,但它们不一定使飞行器性能最大化,并且飞行员的输入实际上能够导致飞行器能量比预期消耗得更快……”。根据上文可知,波音认为飞行员对失速状态下的飞行器进行人工干预,会导致飞行器能量消耗过快,所以波音将自动失速保护系统设置为自动激活和执行,并对飞行员手动干预进行了限制。

  四、波音情况分析

  首先,波音可能严重低估了737 MAX机型增设新型的飞行器失速保护系统可能造成的严重后果。

  737 MAX客机坠毁肯定是波音最不愿意面对的局面,波音主观上不想出现如此空难事故,但是波音在努力满足不断提高的全球供货需求时,或许忽视了质量监控,忽视了对新增失速保护系统的飞机进行试飞验证工作。

图2 CN106477055A号专利附图2

  737机型是波音的赚钱机器,为其带来近一半的商用飞机收入,同时为其新机型的开发提供资金。为了保证收入,波音不断提高737的产量目标。波音位于华盛顿州兰顿市的737组装基地,提高产量压力巨大。《西雅图时报》今年8月曾报道,波音公司将兰顿工厂本来已经够紧张的生产目标再提高,从每月47架,提升到52架。但这还不够,波音此前已经宣布,计划下一年的飞机月产量将进一步提高到每月57架。波音CEO丹尼斯·米伦伯格还称,737的需求给了不断提高(产量)的压力。

  其次,波音隐瞒相关信息的根本原因可能是为了增强737 MAX机型的竞争力

  为了应对与空中客车公司竞争机型——空客A320neo的市场竞争压力,波音需要提高737 MAX机型的竞争力,波音需要设法降低客户购买和使用737 MAX机型的成本,其中包括飞机的购买成本、培训飞行员或维修人员的时间成本和费用等。

  在飞行员培训方面,那些已有执飞737旧机型经验并准备换飞737 MAX机型的飞行员是波音最重要的市场,波音回避737 MAX增设自动失速保护系统等信息,一方面可以直接降低737旧机型飞行员进行737 MAX机型换飞培训的成本,减少航空公司负担;另一方面可以减少操作手册、飞行手册等方面的更新成本,还可以节省对维修人员进行额外专门培训的成本。

  所以,在推广MAX 8的时候,波音公司告诉顾客称,飞行员不需要做额外培训,此前旧机型所做的培训就已经足够(这正是当年空客A320系列飞机打破波音737系列客机独家垄断局面的重要制胜法宝之一)。波音公司一位高管称,公司决定不向飞行人员透露更多飞机的技术细节,是怕给飞行员太多信息。太多技术资料会让他们消化不过来,也不必要。

  737旧机型的防失速系统(对应专利可能为CN103514360B等)与MAX 8最大的区别在于,前者不会自动把机头向下推。但过去那些年里,相关培训一直强调旧系统的操作程序,飞行员也必须背下应对潜在危险的步骤。但737 MAX 8既没有提到新功能,也没有要求飞行员进行培训。因此,飞行员大多都没有处理这种潜在风险的准备。

  最后,安装失速保护系统的适航认证等方面可能可以从监管机构那里获取了优惠政策。

  根据CN106477055A号专利说明书第8段记载:“采用失速保护系统的飞行器通常通过特殊状况问题报告过程(在美国)进行认证,因为传统的失速要求不能被评估。一些监管机构(诸如FAA)可授予飞行器制造商用于安装失速保护系统的性能免除许可(performance relief credits),这可在飞行器认证过程期间产生竞争性的优点。”另外,说明书第48段也有类似记载。

  因此引出一个非常重要的问题:在737 MAX型飞机的适航取证过程中,波音是否利用了监管机构(如FAA)授予飞行器制造商用于安装失速保护系统的性能免除许可政策,使飞机失速保护系统的安全性在未得到充分试飞验证的情况下,通过了FAA的适航认证。

  五、安全信息预警与启示建议

  首先,加强事故调查和737 MAX飞机风险排查工作。

  737MAX飞机的安全问题对中国民航非常重要,这是因为目前在国内注册运行的737MAX飞机达到60余架。目前,民航局已及时向波音公司了解相关情况,并且督促波音公司向国内航空公司进行情况汇报。 11月7日中国民航局收到美国联邦航空局的紧急适航指令并做出评估之后,民航局于11月9日颁发了相应适航指令,要求国内航空公司对于737MAX飞机的飞行手册进行相应的修订,对机组操控飞机提出了一些具体明确的要求。

  除了上述工作,中国民航局还可以做好以下工作:

  进一步研究分析CN106477055A等专利情况,必要时可以要求波音公司比照相关专利,详细说明737 MAX在自动失速保护系统方面的设计情况;另外,如上文涉及,波音在737 MAX飞机安装失速保护系统后,适航取证时可能向美国联邦航空局(FAA)提交了特殊状况问题报告,中国民航局有权要求波音提供相关报告或者要求波音另行提供专门报告。

  波音有可能在重要的失速保护新系统上未进行充分试飞验证的情况下,利用相关政策通过了FAA等适航当局的适航认证。为了满足中国民机的适航安全要求,中国民航局不必迷信FAA适航取证方面的权威性和专业性。中国民航局可以对波音737 MAX飞机的失速保护系统安全性问题开展独立调查工作,在必要时,甚至可以重新进行737 MAX相关系统的适航认证工作。

  其次,采取必要的风险规避措施。

  如果737 MAX上真的安装了涉及CN106477055A专利的失速自动保护系统,再次发生类似事故时,机组人员仅仅依操作手册应对“攻角数据错误”很可能是不够的,飞行员可能需要马上关闭失速自动保护系统,才能获取飞机的完全控制权。

  另外,波音对其737 MAX上失速自动保护系统进行系统更新时,必须解决传感器安全余度和数据真实性验证的设计缺陷,以及飞行员手动输入指令优先等问题。

  最后,中国民机制造商应该引以为戒。

  中国商飞公司要重视自动控制和自动失速保护系统的设计,避免出现安全隐患和逻辑漏洞;商飞公司要重视操作手册的详细披露和飞行员、维修人员的培训工作;在国产民机的适航取证方面,商飞公司还可以关注国内外监管机构(诸如FAA)授予飞行器制造商用于安装失速保护系统的性能免除许可等方面的制度规定。

  目前,调查人员仍在检查失事飞机外部的攻角传感器是否传输了错误数据,并在进一步分析失事飞机黑匣子数据和查找驾驶舱话音记录器。据路透社最新报道,空难调查组预计将于11月28日或29日公布他们关于坠机事故的初步报告。空难事故的真相究竟如何?让我们拭目以待。

  (本文作者对禄宏志、张喆等专家提供的支持和帮助表示感谢!)

https://mp.weixin.qq.com/s/LO9qF2LpLXzNyeP6eAJBAw

【作者不详】荐读陆峰关于狮航事故的专利分析文章

  在我的第311篇微文发表后,本想就事故原因再写一篇分析文章。但在研阅航空工业发展研究中心陆峰所写的《印尼狮航波音737MAX客机坠机事故原因的专利分析》一文后,觉得不少问题已经分析得十分到位。故而,我向大家荐读这篇文章。

  陆峰是一位有技术背景的专利工作者,他从专利这个独特维度,对于围绕737MAX飞机上添加的机动特性增强系统(MCAS,Maneuvering Characteristics Augmentation System)而产生的有关专利,做了深入的分析,视角独特,很有见地,也极具说服力。据陆峰介绍,这篇文章也是集体劳动的成果,中心的张毓灵、王元元,试飞院的张喆,一飞院的禄宏志,集团总部的朱娜等,都参与工作,付出了劳动。

  尤为可贵的是,此文写于去年11月27日,距离狮航空难的发生不足一个月。在很短的时间里,做出这样快速、敏锐、精到的分析,有针对性地给出安全信息预警,对我国民航管理部门和民机制造商提出若干有份量的建议,足见航空工业发展研究中心的使命感与责任感,从中也反映出研究人员良好的职业素养。而当时,我们许多人,在感情上轻易相信波音,在潜意识里把事故或多或少地归咎于印尼狮航是个廉价航空公司,其工作人员素质未必胜任,以致对这个惊天惨祸并未引起足够的关注。这个教训应该吸取。

  当然,这篇文章主要还只是对MCAS所涉及的部分技术分析,还有许多复杂背景与关联因素,需要进一步探究,诸如,两起事故的相关(似)性,更换发动机带来的负面影响,引出MCAS的动因,737MAX急促上马的得失,制造商与适航当局的关系与责任等等,期待陆峰和他的同事们做出更深入全面的分析。当然更希望波音公司和FAA正视问题,端正态度,在全球航空界的共同努力下,彻查事故原因,做出负责任的整改,以告慰346条逝去的生命,不负世人对民用航空事业的托付与信任。

加跟贴 发新贴一品 人文历史索引首页

Powered by AFpost Wed Mar 13 21:43:03 2019.

本论坛上所有文章只反映送交者的观点。我们保留删除任何被认为不适合本坛的文章的权力。